Non-conformité au RGPD : de nouvelles entreprises sanctionnées

Depuis l’entrée en vigueur du Règlement Général pour la Protection des Données (RGPD), la Commission Nationale de l’Informatique et des Libertés (CNIL) a déjà sanctionné plusieurs entreprises pour manquement à leurs obligations vis-à-vis de ce nouveau cadre législatif. Des sanctions prononcées en France, mais également à l’échelle mondiale par les organismes en charge de l’application du RGPD. Depuis 2017, ce sont ainsi plus d’une trentaine de sociétés qui ont été épinglées, dans pas moins de neuf pays : France, Royaume-Uni, Etats-Unis, Autriche, Allemagne, Espagne, Portugal, Pays-Bas et Irlande.

En France, La CNIL a dernièrement sanctionné trois entreprises pour atteinte à la sécurité des données, non-respect des durées de conservation ou encore surveillance excessive des salariés. Explications.

Le RGPD : de lourdes sanctions en cas de non-respect

Rappelons tout d’abord quelles sanctions peuvent être appliquées par la Commission Nationale de l’Informatique et des Libertés (CNIL) en cas de non-respect du RGPD. Désormais, les entreprises et organismes traitant des données à caractère personnel sont dans l’obligation de se conformer à plusieurs exigences. Elles doivent notamment :

• Garantir la sécurité des données personnelles collectées ;
• Obtenir le consentement des personnes concernées par ce traitement de données ;
• Informer les personnes concernées vis-à-vis de l’utilisation de leurs données ;
• Respecter les droits de ces personnes lors du traitement de leurs données (droit d’accès, de modification, de suppression) ;
• Tenir un registre obligatoire de traitement des données ;
• Nommer un Délégué à la Protection des Données (DPO) ;
• Effectuer des analyses d’impact du traitement des données afin d’évaluer les éventuels risques liés (risque de fuite, par exemple).

Le DPO, un rôle fondamental

Grâce au DPO, dont le rôle est fondamental, la société ou l’organisme doit entretenir une relation étroite avec la CNIL, de manière à communiquer rapidement avec l’autorité de contrôle en cas de violation des données personnelles collectées. Rappelons qu’en cas de manquement aux obligations dictées par le RGPD, la responsabilité du DPO est engagée et de lourdes sanctions peuvent être prises à l’encontre de l’entreprise ou organisme fautif.

Des sanctions dissuasives

En France, l’autorité chargée de contrôler la bonne application du RGPD dans les entreprises concernées est la Commission Nationale de l’Informatique et des Libertés (CNIL). La CNIL a un devoir de vigilance quant au respect des exigences du RGPD, mais son rôle est avant tout dissuasif, c’est à dire qu’elle ne sanctionne les organismes fautifs uniquement lorsque le manquement à leurs obligations est flagrant.

Les sanctions appliquées par la CNIL doivent également être proportionnelles aux délits constatés et relatives au but recherché : la mise en conformité de l’activité des organismes avec le RGPD. Le système de sanctions appliqué par l’autorité de contrôle est donc graduel, en fonction de la gravité du manquement de l’entreprise à l’une des exigences du RGPD.

La CNIL respecte ainsi quatre étapes avant de prononcer à l’encontre d’une société des sanctions administratives effectives.

• Etape 1 : mise en demeure de l’entreprise fautive avec rappel du devoir de respect des exigences du RGPD ;
• Etape 2 : injonction de cesser immédiatement la violation ;
• Etape 3 : la suspension temporaire du traitement de données problématique ;
• Etape 4 : prise effective de sanctions administratives lorsque les injonctions de la CNIL sont restées sans réponse appropriée.

Pour rappel, les sanctions financières pouvant au final être prononcées par l’autorité de contrôle peuvent atteindre 20 000 000 d’euros ou bien 4 % du chiffre d’affaires mondial d’une entreprise. Le montant des amendes étant avant tout proportionnel à la faute commise et à la réactivité de l’entreprise ou organisme concerné.

Deux entreprises françaises sanctionnées par la CNIL

Active Assurances : 180 000 euros d’amende

La société Active Assurances, dont l’activité principale est la conception et la distribution de contrats d’assurance automobile aux particuliers, a été sanctionnée en juillet 2019 par la CNIL, qui a prononcé à son encontre une amende de 180 000 euros.

Cette société, qui édite un site web pour les besoins de son activité, a été sanctionnée pour avoir insuffisamment protégé les données relatives aux utilisateurs de son site internet.

Le signalement auprès de la CNIL a été effectué par un client de la société, qui a indiqué pouvoir à partir de son propre espace personnel accéder aux données personnelles d’autres utilisateurs. Un signalement confirmé par un contrôle de la CNIL, qui a prouvé qu’il était très facile d’accéder effectivement à divers documents relatifs aux autres clients, tels que les copies des permis de conduire, cartes grises, RIB, ainsi que des informations permettant de savoir si les personnes en question avaient fait l’objet d’un retrait de permis.

En outre, le format des mots de passe permettant l’accès aux espaces personnels des clients était bien trop simple, puisqu’il s’agissait de leur date de naissance.

Rappelée à l’ordre par la CNIL, la société Active Assurances n’a pourtant pas pris les mesures suffisantes pour empêcher le référencement dans les moteurs de recherche de ces documents personnels, ni pour durcir l’accès aux espaces personnels des clients. La CNIL a donc procédé à une sanction financière de 180 000 euros, compte tenu de la gravité du manquement et en raison de la nature des informations personnelles dévoilées.

Uniontrad Company : 20 000 euros d’amende

Cette très petite entreprise (TPE), composée de neuf salariés, est spécialisée dans la traduction.

La CNIL a reçu plusieurs signalements entre 2013 et 2017, de la part de salariés qui indiquaient être filmés à leur poste de travail. L’autorité de contrôle a rappelé à l’ordre l’entreprise à deux reprises, sans succès. La CNIL a notamment rappelé à Uniontrad Company les règles à respecter lors de l’installation de caméras sur un lieu de travail, à savoir ne pas filmer en continu les salariés et prévenir ces derniers à ce sujet.

Pourtant, un contrôle mené par la CNIL dans les locaux de Uniontrad Company, en février 2018, a permis de constater que l’entreprise continuait à filmer ses salariés en continu et qu’aucune information satisfaisante ne leur avait été délivrée à ce propos.

De plus, les postes informatiques n’étaient pas suffisamment sécurisés et les traducteurs pouvaient accéder à leur messagerie professionnelle avec un mot de passe commun à tous.

Considérant que ces manquements persistaient dans le temps, alors même que l’entreprise affirmait le contraire, la CNIL a décidé de lui infliger une amende de 20 000 euros, compte tenu de la taille restreinte de la société et de sa situation financière bancale relative à l’année 2017. La CNIL a également condamnée la société à une astreinte de 200 euros par jour de retard, si elle ne se mettait pas en conformité à l’issue de cette première sanction financière.